{"id":17436,"date":"2024-09-02T21:57:08","date_gmt":"2024-09-02T21:57:08","guid":{"rendered":"https:\/\/network-king.net\/los-ataques-a-la-identidad-son-la-principal-amenaza-a-combatir-en-el-contexto-del-saas\/"},"modified":"2024-09-02T22:02:22","modified_gmt":"2024-09-02T22:02:22","slug":"los-ataques-a-la-identidad-son-la-principal-amenaza-a-combatir-en-el-contexto-del-saas","status":"publish","type":"articles","link":"https:\/\/network-king.net\/es\/los-ataques-a-la-identidad-son-la-principal-amenaza-a-combatir-en-el-contexto-del-saas\/","title":{"rendered":"Los ataques a la identidad son la principal amenaza a combatir en el contexto del SaaS"},"content":{"rendered":"\n<p>En los \u00faltimos meses hemos visto c\u00f3mo el ecosistema de la ciberdelincuencia se inclinaba hacia el robo de credenciales y los ataques de acolchado, con un mercado en auge de credenciales violadas que se alimenta y es alimentado por una tuber\u00eda continua de violaciones de datos, dando a los atacantes un mont\u00f3n de v\u00edctimas primarias, secundarias y de terceros a las que extorsionar, a menudo dirigidas a una sola aplicaci\u00f3n SaaS. La filtraci\u00f3n de Snowflake, considerada una de las mayores de la historia, es un ejemplo elocuente de esto que sin duda se considerar\u00e1 un momento decisivo. Utilizando malware para robar credenciales de empleados de varias empresas, los atacantes consiguieron acceder a cuentas sin autenticaci\u00f3n multifactor (MFA). Y la cosa no acaba ah\u00ed.<\/p>\n\n<ul class=\"wp-block-list\">\n<li>El 80% de los ataques actuales implican identidades y credenciales comprometidas (CrowdStrike).<\/li>\n\n\n\n<li>S\u00f3lo en 2023, se multiplicaron por 10 los ataques a la identidad, con una media de 4.000 ataques por segundo (Microsoft).<\/li>\n\n\n\n<li>El 79% de las aplicaciones Web comprometidas fueron el resultado de credenciales violadas (Verizon).<\/li>\n\n\n\n<li>Cada mes se distribuyen un mill\u00f3n de nuevos registros de infosteadores, de los cuales entre el 3 y el 5% contienen credenciales corporativas (Flare).<\/li>\n\n\n\n<li>Microsoft detect\u00f3 147.000 ataques de repetici\u00f3n de token en 2023, lo que supone un aumento del 111% respecto al a\u00f1o anterior (Microsoft).<\/li>\n<\/ul>\n\n<p>Hoy en d\u00eda, la gran mayor\u00eda de las vulnerabilidades de identidad existen en el contexto de las aplicaciones SaaS. Las razones son claras: los equipos de seguridad tienen menos supervisi\u00f3n y control central sobre las aplicaciones SaaS de lo que est\u00e1n acostumbrados, estas aplicaciones existen en grandes cantidades por empresa y las identidades utilizadas para acceder a estas aplicaciones son&#8230; complicadas, por no decir otra cosa. As\u00ed que proteger cientos de aplicaciones, con miles de identidades asociadas, no es tarea f\u00e1cil.<\/p>\n\n<p>El compromiso de un usuario est\u00e1ndar en una aplicaci\u00f3n de bajo riesgo puede convertirse r\u00e1pidamente en un compromiso m\u00e1s amplio, que permita a los atacantes pasar a aplicaciones de alto riesgo con la funcionalidad o los datos que desean. Los atacantes pueden alcanzar (y alcanzar\u00e1n) sus objetivos por etapas (tomar el control de una cuenta, crear una puerta trasera en una aplicaci\u00f3n, propagarse a otras aplicaciones, exfiltrar datos&#8230;) utilizando diversas t\u00e9cnicas, a menudo en t\u00e1ndem. El objetivo es siempre progresar hasta el final de la cadena de ataque para lograr cualesquiera que sean sus objetivos: robo de datos y extorsi\u00f3n, abuso de la funcionalidad de la aplicaci\u00f3n (por ejemplo, para emitir pagos fraudulentos), etc.<\/p>\n\n<p>Por tanto, comprender las t\u00e9cnicas de ataque es fundamental para evitar que se propaguen. He aqu\u00ed <a href=\"https:\/\/github.com\/pushsecurity\/saas-attacks\" target=\"_blank\" rel=\"noopener\">todas las t\u00e9cnicas conocidas<\/a> que pueden comprometer a una empresa sin tocar el endpoint, seg\u00fan Push Security.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"h-tecnicas-de-acesso-inicial-nbsp\">T\u00e9cnicas de acceso inicial<\/h2>\n\n<p>La mayor\u00eda de las t\u00e9cnicas que han ganado protagonismo se encuentran predominantemente en la fase de acceso inicial, incluidos los inicios de sesi\u00f3n fantasma, el phishing AitM, el robo de cookies de sesi\u00f3n, los ataques de degradaci\u00f3n MFA y el abuso del acceso de invitados, todos ellos m\u00e9todos de control de cuentas, que complementan a los cl\u00e1sicos como el relleno de credenciales.<\/p>\n\n<p>El ataque inicial a la identidad, dise\u00f1ado para obtener el control de la cuenta, es la parte m\u00e1s importante de la cadena de ataque al SaaS. El hecho de que los atacantes se centren en encontrar nuevas formas de comprometer las identidades ilustra el valor, pero tambi\u00e9n la fragilidad, de los controles de identidad en los que conf\u00edan la mayor\u00eda de las organizaciones (lo que tambi\u00e9n puede ser una de las razones por las que los atacantes se centran en esto).<\/p>\n\n<p>Tanto si hablamos de protecciones antiphishing, pol\u00edticas de acceso condicional o MFA, los atacantes encuentran continuamente nuevas formas de sortearlas. No hay m\u00e1s que ver lo que nos muestran las recientes brechas de alto perfil sobre lo lucrativo que puede ser para los atacantes encontrar formas de hacerse con el control de las identidades de los trabajadores para acceder a las aplicaciones empresariales basadas en la web, siendo los recientes ataques Snowflake el elefante en la habitaci\u00f3n. Si todo lo que necesita hacer un atacante para causar da\u00f1os es iniciar sesi\u00f3n en una aplicaci\u00f3n y abusar de sus caracter\u00edsticas y funciones leg\u00edtimas, realmente no hay margen de error: siempre hay que desbaratar con \u00e9xito el ataque de identidad inicial.<\/p>\n\n<p>No puedes confiar en que tus controles de endpoints y redes los detecten m\u00e1s tarde, como sol\u00edan hacer. Del mismo modo, es poco probable que tu soluci\u00f3n CASB o DLP pueda impedir que una aplicaci\u00f3n leg\u00edtima, que utiliza recursos leg\u00edtimos como flujos de trabajo basados en API, env\u00ede datos a una infraestructura controlada por los atacantes. \u00c9ste es un caso cl\u00e1sico en el que los atacantes s\u00f3lo tienen que ganar una vez. Y de momento, es un juego de n\u00fameros que ganan lo suficiente como para que sigan viniendo a por m\u00e1s.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"h-encadeamento-de-tecnicas\">Cadena de t\u00e9cnicas<\/h2>\n\n<p>Otra posibilidad es crear cadenas de ataques combinando creativamente t\u00e9cnicas en distintas fases del ciclo de vida del ataque, una vez obtenido un nivel inicial de acceso.<\/p>\n\n<p>Por ejemplo, combinando dos de nuestras nuevas t\u00e9cnicas de ataque SaaS favoritas, los inquilinos envenenados y el SAMLjacking, es posible crear una cadena de ataque sencilla pero eficaz.<\/p>\n\n<p>Los inquilinos envenenados implican que un adversario registra un inquilino para una aplicaci\u00f3n SaaS que controla y enga\u00f1a a los usuarios objetivo para que se unan, normalmente utilizando la funcionalidad de invitaci\u00f3n incorporada. El objetivo final es conseguir que algunos usuarios objetivo utilicen activamente un inquilino que t\u00fa (el adversario) controlas.<\/p>\n\n<p>El SAMLjacking, por otro lado, se produce cuando un atacante utiliza los ajustes de configuraci\u00f3n de SAML SSO de un inquilino SaaS que controla para redirigir a los usuarios a un enlace malicioso de su elecci\u00f3n durante el proceso de autenticaci\u00f3n. Esto puede ser muy eficaz para ataques de phishing, ya que la URL original ser\u00e1 una URL SaaS leg\u00edtima.<\/p>\n\n<p>Es posible combinar estas t\u00e9cnicas para que un inquilino envenenado no tenga que ser un objetivo grande para ser \u00fatil y un ataque de SAMLjacking no tenga que ser necesariamente phishing. El ataque puede tener \u00e9xito simplemente con que el objetivo acceda a sus propios marcadores o a las pesta\u00f1as abiertas de una aplicaci\u00f3n que ya utilice.<\/p>\n\n<p>La mejor forma de defenderse contra este tipo de ataques es tener visibilidad de toda la superficie de ataque a la identidad y, a continuaci\u00f3n, centrarse en reforzar la seguridad.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En los \u00faltimos meses hemos visto c\u00f3mo el ecosistema de la ciberdelincuencia se inclinaba hacia el robo de credenciales y los ataques de acolchado, con un mercado en auge de credenciales violadas que se alimenta y es alimentado por una tuber\u00eda continua de violaciones de datos, dando a los atacantes un mont\u00f3n de v\u00edctimas primarias,&#8230;<\/p>\n","protected":false},"featured_media":17433,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[252],"tags":[],"company":[],"topic":[],"class_list":["post-17436","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-monitoreo-red"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/articles\/17436","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/comments?post=17436"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/media\/17433"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/media?parent=17436"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/category?post=17436"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/tags?post=17436"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/format?post=17436"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/company?post=17436"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/es\/wp-json\/wp\/v2\/topic?post=17436"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}